Le phishing ou hameçonnage est une forme d’escroquerie sur internet qui consiste à récupérer vos données personnelles ou bancaires en se faisant passer pour un organisme officiel ou familier (banque, impôts, CAF, etc.).
Le but des cybercriminels est d’utiliser ces informations pour faire des achats frauduleux, usurper votre identité ou accéder à vos comptes en ligne. Le phishing est une menace sérieuse qui touche de plus en plus d’internautes, notamment sur les plateformes de mails, de réseaux sociaux et de nouveaux médias.
Comment reconnaître une tentative de phishing ? Comment s’en protéger ? Que faire si vous êtes victime ? Voici quelques conseils et astuces pour vous aider à déjouer les pièges du phishing et à sécuriser vos données en ligne.
Contents
Comment reconnaître une tentative de phishing ?
Le phishing se présente généralement sous la forme d’un message électronique ou d’un SMS qui vous demande de cliquer sur un lien ou de fournir des informations personnelles ou bancaires. Le message peut sembler provenir d’un organisme que vous connaissez ou auquel vous faites confiance, comme votre banque, votre opérateur téléphonique, un site de commerce en ligne ou une administration.
Il peut aussi utiliser un ton alarmiste ou urgent pour vous inciter à réagir rapidement, sans vérifier la source du message. Par exemple, le message peut vous annoncer un problème avec votre compte, une anomalie sur votre carte bancaire, un remboursement à percevoir ou une mise à jour à effectuer.
Pour reconnaître une tentative de phishing, il faut être attentif à plusieurs éléments :
- L’adresse de l’expéditeur : elle peut être falsifiée ou ressembler à celle de l’organisme imité, mais avec une faute d’orthographe ou un caractère en plus ou en moins. Par exemple, service@impotsgouv.fr au lieu de service@impots.gouv.fr.
- L’objet et le contenu du message : ils peuvent comporter des fautes d’orthographe, de grammaire ou de syntaxe, ou utiliser un vocabulaire inapproprié ou peu professionnel. Par exemple, “Cher(e) client(e)” au lieu de “Madame, Monsieur“.
- Le lien proposé : il peut renvoyer vers un site frauduleux qui imite celui de l’organisme officiel, mais avec une adresse différente ou suspecte. Par exemple, www.impots.gouv.fr.com au lieu de www.impots.gouv.fr. Il faut toujours vérifier l’adresse du site avant de cliquer sur le lien ou de saisir des informations.
- La demande formulée : elle peut être anormale ou inhabituelle par rapport aux pratiques habituelles de l’organisme officiel. Par exemple, aucune administration ou société sérieuse ne vous demandera vos données bancaires ou vos mots de passe par mail ou par SMS.
Comment s’en protéger ?
Pour éviter de tomber dans le piège du phishing, il faut adopter quelques bonnes pratiques :
- Ne communiquez jamais vos informations personnelles ou bancaires par mail ou par SMS : si vous recevez une demande de ce type, ne répondez pas et supprimez le message.
- Ne cliquez pas sur les liens suspects : si vous avez un doute sur l’origine du message, ne cliquez pas sur le lien proposé et allez directement sur le site officiel de l’organisme concerné en tapant son adresse dans votre navigateur ou en utilisant un lien favori que vous aurez créé vous-même.
- Vérifiez l’adresse du site web : si vous accédez à un site via un lien reçu par mail ou par SMS, vérifiez que l’adresse correspond bien à celle de l’organisme officiel. Si ce n’est pas le cas, fermez immédiatement la page et ne fournissez aucune information.
- Contactez directement l’organisme concerné : en cas de doute sur la véracité du message reçu, contactez directement l’organisme concerné par téléphone ou par mail pour confirmer le message ou l’appel que vous avez reçu.
- Utilisez des mots de passe différents et complexes pour chaque site et application : cela vous permettra d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez utiliser un gestionnaire de mots de passe pour créer et stocker vos mots de passe en toute sécurité.
- Mettez à jour régulièrement votre système d’exploitation et vos logiciels : cela vous permettra de bénéficier des dernières mises à jour de sécurité et de corriger les éventuelles failles exploitées par les cybercriminels.
- Installez un antivirus et un pare-feu sur votre ordinateur : cela vous permettra de détecter et bloquer les éventuels logiciels malveillants qui pourraient être installés sur votre machine suite à un clic sur un lien frauduleux.
Que faire si vous êtes victime ?
Si malgré ces précautions, vous avez cliqué sur un lien frauduleux ou communiqué des informations personnelles ou bancaires à un cybercriminel, voici les démarches à suivre :
- Changez immédiatement vos mots de passe : si vous avez communiqué vos identifiants et mots de passe à un site frauduleux, changez-les sans attendre sur tous les sites où vous les utilisez.
- Faites opposition auprès de votre banque : si vous avez communiqué vos données bancaires à un site frauduleux, contactez votre banque pour faire opposition sur votre carte bancaire et vérifiez vos relevés bancaires pour signaler toute opération suspecte.
- Déposez plainte auprès du commissariat ou de la gendarmerie : si vous avez subi un préjudice financier suite à une tentative de phishing, déposez plainte en apportant tous les éléments dont vous disposez (mails reçus, relevés bancaires…).
- Signalez la tentative de phishing sur la plateforme Phishing Initiative : il s’agit d’un service gratuit qui permet aux internautes de signaler les sites frauduleux qu’ils ont rencontrés. Cela permettra aux autorités compétentes de bloquer l’accès à ces sites et d’éviter que d’autres internautes ne soient victimes du même piège.
Que dit la loi ?
Le phishing est considéré comme une forme d’escroquerie punie par le code pénal. Selon l’article 313-1 du code pénal, “l’escroquerie est le fait […] d’user d’un faux nom […] pour obtenir […] la remise […] d’un bien quelconque”. Selon l’article 313-3 du code pénal, “l’escroquerie est punie […] lorsque les faits sont commis […] au moyen d’un réseau […] destiné au public”. La peine encourue est alors “de cinq ans d’emprisonnement et 375 000 euros d’amende”.
Nos supports sur le phishing
Pour aller plus loin dans la prévention et la sensibilisation au phishing, nous vous proposons quelques supports utiles :
- Une vidéo explicative sur le phishing réalisée par la CNIL (Commission nationale informatique et libertés) : https://www.cnil.fr/fr/video-le-phishing-cest-quoi
- Une fiche réflexe sur le phishing réalisée par Cybermalveillance.gouv.fr : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing
- Un quiz interactif pour tester ses connaissances sur le phishing réalisé par Cybermalveillance :
Exemples d’arnaques et de phishing les plus récentes
Pour illustrer les différentes techniques de phishing utilisées par les cybercriminels, voici quelques exemples d’arnaques et de phishing les plus récentes qui ont été signalées par les internautes :
- L’arnaque à la fausse facture : il s’agit d’un mail qui vous informe qu’une facture impayée ou erronée est en attente de règlement et qui vous invite à cliquer sur un lien pour la consulter ou la régulariser. Le lien renvoie vers un site frauduleux qui vous demande vos coordonnées bancaires ou qui installe un logiciel malveillant sur votre ordinateur. Cette arnaque peut imiter des organismes tels que EDF, Amazon, Free ou encore la Sécurité sociale.
- L’arnaque au faux remboursement : il s’agit d’un mail qui vous annonce que vous avez droit à un remboursement suite à une erreur ou à un trop-perçu et qui vous invite à cliquer sur un lien pour le recevoir. Le lien renvoie vers un site frauduleux qui vous demande vos coordonnées bancaires ou qui installe un logiciel malveillant sur votre ordinateur. Cette arnaque peut imiter des organismes tels que les impôts, la CAF, la CPAM ou encore Pôle emploi.
- L’arnaque au faux support technique : il s’agit d’un mail qui vous informe qu’un problème a été détecté sur votre ordinateur ou sur votre compte en ligne et qui vous invite à contacter un numéro de téléphone ou à cliquer sur un lien pour le résoudre. Le numéro de téléphone ou le lien renvoie vers un faux support technique qui vous demande de payer une somme d’argent ou de leur donner accès à votre ordinateur pour effectuer une réparation fictive. Cette arnaque peut imiter des organismes tels que Microsoft, Apple, Google ou encore Facebook.
- L’arnaque au faux colis : il s’agit d’un mail qui vous informe qu’un colis est en attente de livraison ou de retrait et qui vous invite à cliquer sur un lien pour le suivre ou le confirmer. Le lien renvoie vers un site frauduleux qui vous demande de payer des frais supplémentaires ou qui installe un logiciel malveillant sur votre ordinateur. Cette arnaque peut imiter des organismes tels que La Poste, Chronopost, DHL ou encore UPS.
- L’arnaque au faux sondage : il s’agit d’un mail qui vous propose de participer à un sondage en ligne en échange d’une récompense et qui vous invite à cliquer sur un lien pour y accéder. Le lien renvoie vers un site frauduleux qui vous demande de remplir un formulaire avec vos données personnelles ou bancaires ou qui installe un logiciel malveillant sur votre ordinateur. Cette arnaque peut imiter des organismes tels que Carrefour, Auchan, Lidl ou encore Ikea.
Ces exemples ne sont pas exhaustifs et les cybercriminels peuvent adapter leurs techniques en fonction de l’actualité ou des événements. Il faut donc rester vigilant face à tout message suspect et ne pas hésiter à vérifier la source avant de cliquer ou de répondre.
Conclusion
Le phishing est une forme d’escroquerie sur internet qui vise à vous soutirer vos données personnelles ou bancaires en se faisant passer pour un organisme de confiance. Il peut avoir des conséquences graves sur votre sécurité et votre vie privée.
Pour vous en protéger, il faut être vigilant et adopter quelques bonnes pratiques, comme ne pas cliquer sur les liens suspects, vérifier l’adresse du site web, contacter directement l’organisme concerné, utiliser des mots de passe différents et complexes, mettre à jour votre système et vos logiciels, installer un antivirus et un pare-feu.
Si vous êtes victime de phishing, il faut réagir rapidement et changer vos mots de passe, faire opposition auprès de votre banque, déposer plainte auprès du commissariat ou de la gendarmerie et signaler la tentative de phishing sur la plateforme Phishing Initiative. En suivant ces conseils, vous pourrez surfer sur internet en toute sérénité et éviter les pièges du phishing.
